Аутентификация ADFS-IE8 работает, Chrome терпит неудачу

Итак, веб-сайт настроен для аутентификации ADFS 2.0...

для IE-он отлично работает и сделал аутентификацию правильной

для Chrome-он достигает перенаправления на сервер AD FS... попросите аутентифицировать, но не удалось аутентифицировать.

Я пытаюсь запрашивать с помощью fiddler, но он не показывает ничего интересного - поэтому покажите, что мы перенаправляем в adfs для аутентификации, но не более

что это может быть? почему невозможно аутентифицировать для хром

спасибо

3 ответов


в средстве просмотра событий вы увидите событие "сбой аудита"с" Status: 0xc000035b". Эту проблему можно обойти, отключив "расширенную защиту" для веб-приложения adfs/ls.

в интернете есть несколько статей об этом, например "ошибка 0xc000035b во время интегрированного входа в систему windows" поток на форуме Microsoft AD FS. Цитата:

включить расширенную защиту от, на сервер AD FS, запустите диспетчер IIS, затем, на левой стороне дерева, сайты доступа - > веб-сайт по умолчанию - > adfs - > общ. Как только вы выберете папка" /adfs/ls", дважды щелкните Значок аутентификации, затем щелкните правой кнопкой мыши Проверка подлинности Windows и выберите Дополнительные настройки ... на Advanced Диалоговое окно "Параметры", выберите " off " для Расширенная Защита.

эта проблема возникает в нескольких ситуациях, о которых я знаю: при использовании Firefox 3.5+ или Chrome, используя определенную конфигурацию NTLM, для которой у меня нет подробности под рукой и при использовании Fiddler (см. "AD FS 2.0: постоянно запрашиваются учетные данные при использовании веб-отладчика Fiddler" пост статьи TechNet и "скрипач и канал-привязка-токены" сообщение в блоге, которое содержит более техническую справочную информацию).

(обратите внимание, что нигде я не мог найти никакой информации о том, как сделать аутентификацию NTLM в AD FS, например, Google Chrome и Firefox 3.5+ work без выключение "Расширенная Защита". Я имею в виду, Internet Explorer работает с "расширенной защитой", почему не Chrome или Firefox? Или это ошибка/ограничение реализации Chrome/Firefox, например, при использовании библиотеки NTLM Windows?)


От Microsoft:http://technet.microsoft.com/en-us/library/hh852537.aspx

Если и до Firefox, Google Chrome и Safari поддержка расширена Защита для проверки подлинности, рекомендуется установить и использовать Internet Explorer 10 или более поздней версии. Если вы хотите использовать один войдите в Office 365 с помощью Firefox, Google Chrome или Safari, там два других решения: (1) Удалите расширенные исправления защиты от вашего компьютер. (2) Измените расширенную настройку защиты на Сервер служб Федерации Active Directory 2.0. Видеть "ExtendedProtectionTokenCheck" на странице TechNet Set-ADFSProperties относительно деталей.


отключение расширенной защиты не является ответом. Вы добавляете chrome, чтобы adfs могли его распознать, а затем добавляете сайт в список надежных.

убедитесь, что chrome поддерживается adfs. Итак, если вы выполните следующие команды:

$a=Get-Adfsproperties 
$a.WIASupportedUserAgents

затем вы добавляете chrome в список.

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0") 

теперь нам нужно будет сказать Chrome, что он должен разрешить встроенную аутентификацию Windows для сайта.

для этого вам нужно зайти в настройки: Нажмите на дополнительно Нажмите на Настройки прокси-сервера Он должен открыть ваши свойства IE. Нажмите на безопасность и выберите "локальная интрасеть" и добавьте имя службы Федерации ваших ADFS здесь. Нажмите кнопку Закрыть и применить в разделе свойства IE. Перезапустите Chrome, и в следующий раз при попытке доступа к сайту он не будет запрашивать учетные данные.

Это было решение, представленное на работе, чтобы позволить SSO с Chrome без отключения расширенной защиты. Ура для поддержки MS.